Apple'ın Kasım Ayı Güvenlik Açıkları
CVE-2024-11691: WebGL İşlemleri ve Bellek Bozulması
Kasım 2024'te, Apple silikon M serisi cihazlara özgü kritik bir güvenlik açığı açıklandı. Apple'ın GPU sürücüsünde bulunan bu kusur, belirli WebGL işlemleri sırasında sınır dışı yazma ve bellek bozulmasına neden oldu. Özellikle, bu güvenlik açığı Apple M serisi donanımlardaki Firefox ve Thunderbird sürümlerini etkiledi. Diğer platformlar etkilenmedi.
Etkilenen Sürümler:
133'ten önceki Firefox sürümleri
Firefox ESR 128.5 ve 115.18'den önceki sürümler
Thunderbird 133, 128.5 ve 115.18'den önceki sürümler
Bu sayıda platformlara özgü güvenlik açıklarının zorlukları vurgulanıyor ve proaktif sürücü ve yazılım testlerinin gerekliliği vurgulanıyor.
CVE-2024-44308 ve CVE-2024-44309: Apple Ekosistemindeki İstismara Açık Sorunlar
Safari ve macOS ortamlarında CVE-2024-44308 ve CVE-2024-44309 olmak üzere iki ek güvenlik açığı bildirildi:
CVE-2024-44308: Kötü Amaçlı Web İçeriği Aracılığıyla Keyfi Kod Çalıştırma
Şiddet: 8.8 (Yüksek)
Etkilenen Platformlar: Safari, iOS, iPadOS, macOS Sequoia ve visionOS
Çözüm: Keyfi kod yürütülmesini önlemek için iyileştirilmiş denetimler getirildi.
Saldırı Durumu: Intel tabanlı Mac sistemlerinde aktif olarak saldırılıyor.
CVE-2024-44309: Çerez Yönetimi Aracılığıyla Siteler Arası Komut Dosyası Çalıştırma
Şiddet: 6.1 (Orta)
Etkilenen Platformlar: CVE-2024-44308 ile benzer kapsam.
Çözüm: Çerez manipülasyonunu azaltmak için geliştirilmiş durum yönetimi.
Saldırı Durumu: Intel tabanlı Mac sistemlerinde aktif olarak saldırılıyor.
Bu güvenlik açıkları, özellikle Safari gibi yaygın olarak kullanılan uygulamalarda web içeriği ve çerez durumlarının ele alınmasında kapsamlı bir incelemeye duyulan kritik ihtiyacı ortaya koymaktadır.
CVE-2024-50106: Linux Kernel Yarış Durumu
Linux çekirdeğinin Ağ Dosya Sistemi (NFS) arka plan programını etkileyen bir yarış durumu güvenlik açığı da açıklandı. Doğrudan Apple ile bağlantılı olmasa da, bu sorun teknik karmaşıklığı ve Apple Sanallaştırma platformları üzerindeki potansiyel etkisi nedeniyle dikkat çekicidir.
Önemli Konu:
Yarış durumu, iptal edilen delegasyonların ve free_stateid işlemlerinin işlenmesi sırasında ortaya çıkar ve bir use-after-free hatasına yol açar. Bu, çekirdek çökmeleri ve sistem kararsızlığı olarak kendini gösterir.
Çözünürlük:
Linux topluluğu, durum tanımlayıcılarının uygunsuz şekilde kullanılmasını önlemek için durum koordinasyon mekanizmalarını iyileştirerek bu sorunu çözdü.
Çözüm
Kasım 2024, zamanında güncellemelerin ve sağlam güvenlik uygulamalarının önemini vurguladı. Apple kullanıcılarına, özellikle Safari veya Intel tabanlı Mac sistemlerindekilere, en son yazılım sürümlerine yükseltmeleri tavsiye edilir. CVE ifşaları, güvenlik tehditlerinin gelişen manzarasının ve hem tescilli hem de açık kaynaklı ekosistemlerde dikkatli olmanın gerekliliğinin bir hatırlatıcısı olarak hizmet eder.